Datenschutzhinweis
Wir nehmen den Datenschutz und die Geheimhaltung sehr ernst und halten die Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sowie die geltenden einzelstaatlichen Datenschutzvorschriften ein. Nachfolgend wollen wir Ihnen erläutern, welche Informationen und gegebenenfalls welche personenbezogenen Daten wir verarbeiten, wenn Sie eine Meldung abgeben. Bitte lesen sie diesen Datenschutzhinweis sorgfältig, bevor Sie eine Meldung abgeben.
Wer ist verantwortlich?
Dieser Datenschutzhinweis gilt für die Datenverarbeitung durch:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Str. 20
53250 Bonn
Deutschland
gco@dpdhl.com
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an den Datenschutzbeauftragten:
Deutsche Post AG
Global Data Protection
53250 Bonn
Deutschland
datenschutz@dpdhl.com
Welche personenbezogenen Daten werden verarbeitet?
Die Deutsche Post AG unterhält ein Incident Reporting System für DPDHL (Deutsche Post AG und deren Konzerngesellschaften). Die Nutzung des Incident Reporting Systems erfolgt auf freiwilliger Basis. Wenn Sie eine Meldung über das Incident Reporting System abgeben, erfassen wir die folgenden personenbezogenen Daten und Informationen:
- Ihren Namen, sofern Sie Ihre Identität angeben,
- ob Sie bei DPDHL beschäftigt sind sowie
- die Namen und weitere personenbezogene Daten von Personen, die Sie in Ihrer Meldung nennen.
Für den Fall einer telefonischen Hinweisabgabe wird Ihre Stimme aufgezeichnet. Zu Beginn jedes Telefonats werden Sie darüber hinaus gebeten, der Aufzeichnung Ihres gesprochenen Wortes in Form einer Audiodatei zuzustimmen. Ferner werden für diese Form von Meldungen die vorstehenden Arten personenbezogener Daten im Wege einer Transkription erhoben.
Warum und auf welcher Rechtsgrundlage erheben wir personenbezogene Daten?
Das Hinweisgebersystem (BKMS® System) dient dem Zweck einer sicheren und vertraulichen Entgegennahme, Bearbeitung und Steuerung von Meldungen zu Verstößen gegen die Compliance-Vorschriften von DPDHL. Insbesondere sollen Meldungen zu Verstößen gegen das Gesetz oder den Verhaltenskodex von DPDHL und die dort genannten weiteren Grundsätze, Richtlinien und Vorschriften wie z. B. unsere Grundsatzerklärung zu Menschenrechten (Human Rights Policy Statement) oder die Antikorruptionsrichtlinie und Standards für Geschäftsethik (Anti-Corruption and Business Ethics Policy) entgegengenommen werden. Wir verarbeiten Ihre Daten ausschließlich für bestimmte Zwecke und auf einer entsprechenden Rechtsgrundlage. Sofern Sie Datenschutzverletzungen melden oder andere datenschutzbezogene Mitteilungen übermitteln wollen, beachten Sie bitte das interne Verfahren für die Meldung von Datenschutzverletzungen bzw. wenden Sie sich an den zuständigen Datenschutzansprechpartner oder den Datenschutzbeauftragten. Die Kontaktdaten finden Sie hier.
Der Besuch auf unserer Website
Das BKMS® System ist so konzipiert, dass es die Anonymität seiner Nutzer gemäß der EU-Whistleblower-Richtlinie garantiert. Daten, die erforderlich sind, um die Kommunikation zwischen Ihrem Computer und dem Incident Reporting zu ermöglichen – wie z. B. IP-Adressen – werden nicht im BKMS® System gespeichert und ausschließlich auf der Infrastrukturebene für die Dauer einer Session verwendet. Darüber hinaus wird ein Cookie auf Ihrem Computer gespeichert, das lediglich die Session-ID enthält (ein sogenanntes Session-Cookie). Dieses Cookie ist nur bis zum Ende Ihrer Session gültig und verfällt, wenn Sie Ihren Browser schließen. Das Cookie enthält lediglich die Session-ID-Bezeichnung JSESSIONID mit einem zufällig generierten Wert, der für den Aufbau der Session erforderlich ist (weitere Informationen, die eine Identifizierung des Hinweisgebers erlauben würden, sind nicht enthalten). Der Aufbau von Sessions ist in einer Client-Server-Architektur weit verbreitet und eine bewährte Praxis. Sofern Sie sich ausloggen bzw. das Zeitlimit erreicht ist, verfällt das Cookie und die Session wird ungültig (geschlossen). Dies geschieht, indem der Sessionwert im Cookie selbst auf „Null“ (einen undefinierten Status) gesetzt wird. An diesem Punkt kann die Session nicht mehr erneut geöffnet werden. Im Hinblick auf die vorstehend genannten Zwecke haben wir ein berechtigtes Interesse an der Verarbeitung Ihrer Daten gemäß Art. 6 Abs. 1 Buchstabe f) DSGVO.
Anonyme oder namentliche Meldungen
Ungeachtet des von Ihnen genutzten Kommunikationskanals können Sie Ihre Meldung anonym oder unter Nennung Ihres Namens abgeben. Sollten Sie sich aus freien Stücken dafür entscheiden, Ihren Namen zu nennen, möchten wir Sie darüber informieren, dass wir Ihre Identität während aller internen bzw. außergerichtlichen Schritte des Verfahrens geheim halten. Wir weisen darauf hin, dass wir grundsätzlich verpflichtet sind, beschuldigte Personen darüber zu informieren, dass wir eine Meldung über sie erhalten haben, soweit wir hierdurch nicht weitere Untersuchungen im Rahmen der Meldung gefährden. Hierbei wird Ihre Identität als Hinweisgeber im gesetzlich zulässigen Umfang geschützt. Im Fall nicht anonym abgegebener Meldungen können Auskunfts- und Informationsansprüche von Betroffenen einer Meldung dazu führen, dass die Identität des Meldenden gegenüber dem Betroffenen offengelegt werden muss. Sofern Sie sich bewusst und absichtlich dafür entscheiden, Ihre Identität im Zuge der Meldung preiszugeben, erfolgt die Datenverarbeitung auf der Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DSGVO. Sie können Ihre Einwilligung widerrufen, jedoch nur innerhalb eines Monats nach der entsprechenden Mitteilung.
Meldungen über das webbasierte BKMS® System, den geschützten Postkasten oder andere Kommunikationskanäle
Die Verarbeitung personenbezogener Daten im Hinweisgebersystem über das BKMS® System, den geschützten Postkasten oder andere Kommunikationskanäle wird auf die berechtigten Interessen unseres Unternehmens gestützt, ein Fehlverhalten aufzudecken und zu verhindern und so Schaden von DPDHL, deren Beschäftigten und Kunden abzuwenden. Artikel 6 Absatz 1 Buchstabe f) DSGVO stellt die Rechtsgrundlage für diese Datenverarbeitung über die verfügbaren Kommunikationskanäle dar.
Es ist möglich, innerhalb des BKMS® System einen geschützten Postkasten einzurichten, der mit einem individuell gewählten Pseudonym/Benutzernamen und einem Kennwort gesichert ist. Um die höchstmögliche Anonymität zu gewährleisten, müssen Sie ein Pseudonym wählen, das keine Rückschlüsse auf Ihre Identität erlaubt. Auf diese Weise können Sie Ergänzungen zu Ihrer Meldung übermitteln und mit dem zuständigen DPDHL-Mitarbeiter über den gemeldeten Sachverhalt kommunizieren. Sie können sich auch dafür entscheiden, Ihre Identität durch Nennung Ihres Namens preiszugeben. Das System des geschützten Postkastens speichert Daten ausschließlich im Incident Reporting System, wodurch es besonders sicher ist. Es handelt sich nicht um eine übliche Form der E-Mail-Kommunikation. Personenbezogene Daten werden gemäß dem unter der Überschrift „Wie lange speichern wir personenbezogene Daten“ erläuterten allgemeinen Löschkonzept aus dem geschützten Postkasten gelöscht. Nachdem ein gemeldeter Fall geschlossen wurde, wird der geschützte Postkasten nach 180 Tagen ohne Nutzung vollständig gelöscht.
Wenn Sie eine Meldung abgeben bzw. ergänzen, können Sie Ihren Informationen gleichzeitig Anhänge beifügen. Sofern Sie eine anonyme Meldung abgeben wollen, beachten Sie bitte den folgenden Sicherheitshinweis: Dateien können versteckte personenbezogene Daten enthalten, die Ihre Anonymität gefährden können. Löschen Sie diese Daten vor dem Absenden. Wenn Sie derartige Daten nicht löschen können oder nicht genau wissen, wie dies vorzunehmen ist, kopieren Sie den Text Ihres Anhangs in den Meldungstext oder senden Sie das ausgedruckte Dokument anonym an die in der Fußzeile angegebene Anschrift unter Angabe der Referenznummer, die Sie am Ende des erstmaligen Meldeprozesses erhalten. Darüber hinaus haben Sie die Möglichkeit, Meldungen auch über andere Kanäle abzugeben (z. B. per Brief, E-Mail etc.). Derartige Meldungen werden zur weiteren Bearbeitung manuell in das BKMS® System übernommen.
Telefonische Hinweisabgabe
Auch bei einer telefonischen Hinweisabgabe bleibt Ihre Anonymität durch das BKMS® System gewahrt. Weder DPDHL noch EQS Group haben Zugang zu Ihrer Telefonnummer oder können Sie anhand Ihrer Stimme identifizieren. Von Ihrer Beschreibung des Vorfalls wird im BKMS® System eine Aufnahme angefertigt. Bitte beachten Sie, dass eine telefonische Hinweisabgabe nur dann möglich ist, wenn Sie der Sprachaufzeichnung zugestimmt haben. Im Anschluss wird die verschlüsselte Audiodatei von dem verantwortlichen Mitarbeiter bei DPDHL schriftlich festgehalten. Die Rechtsgrundlage für die Aufzeichnung und Transkription Ihrer Meldung bildet Ihre Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DSGVO. Die telefonische Hinweisabgabe ist freiwillig. Sofern Sie keine Aufzeichnung wünschen, steht es Ihnen frei, Ihre Meldung über einen der anderen angebotenen Kommunikationskanäle abzugeben. Die Audiodatei wird unmittelbar nach Abschluss der Bearbeitung Ihrer Meldung gelöscht.
Sofern Sie am Ende der telefonischen Hinweisabgabe einen geschützten Postkasten eingerichtet haben, können Sie Rückmeldungen des zuständigen DPDHL-Mitarbeiters in Form einer Sprachaufzeichnung erhalten und Ihre Meldung erforderlichenfalls um weitere Informationen ergänzen. Alternativ können Sie Ihren geschützten Postkasten über die Web-Anwendung aufrufen, Rückmeldungen prüfen und schriftliche Ergänzungen vornehmen. Um die Vertraulichkeit Ihrer Meldung bzw. der ergänzenden Informationen zu wahren, können Sie sich diese weder über Ihr Telefon noch über den webbasierten geschützten Postkasten anhören.
Wie lange speichern wir Ihre personenbezogenen Daten?
Personenbezogene Daten werden solange aufbewahrt, wie dies zur Klärung der Situation und zur Durchführung einer Bewertung der Meldung erforderlich ist, ein anderes berechtigtes Interesse des Unternehmens besteht oder dies gesetzlich vorgeschrieben ist. Diese Daten werden in Übereinstimmung mit den gesetzlichen Anforderungen nach Abschluss der Bearbeitung Ihrer Meldung gelöscht. Sofern sich die gemeldeten Bedenken als unbegründet erweisen und nicht zu einer Untersuchung führen, werden wir die mit der betreffenden Meldung erhaltenen personenbezogenen Daten unverzüglich löschen. Sofern eine Untersuchung eingeleitet wird, werden die personenbezogenen Daten innerhalb von zwei Monaten nach Abschluss der Untersuchung gelöscht, soweit nicht eine längere Aufbewahrungsfrist für den Abschluss weiterer Verfahren – insbesondere Disziplinar- oder Gerichtsverfahren – erforderlich oder anderweitig nach den lokal geltenden Rechtsvorschriften zulässig ist.
Wie schützen wir personenbezogene Daten?
Die Kommunikation zwischen Ihrem Computer und dem Incident Reporting System erfolgt über eine verschlüsselte Verbindung (SSL). Während Sie das Hinweisgebersystem nutzen, wird Ihre IP-Adresse nicht gespeichert.
Werden personenbezogene Daten weitergegeben?
Eingehende Meldungen werden von einem kleinen Kreis ausdrücklich befugter und besonders geschulter Mitarbeiter der Compliance- bzw. Personalabteilungen von DPDHL entgegengenommen und stets vertraulich bearbeitet. Die vorgenannten Mitarbeiter der Compliance- bzw. Personalabteilungen von DPDHL bewerten die Angelegenheit und führen weitere, im konkreten Fall erforderliche Untersuchungen durch. Im Rahmen der Bearbeitung einer Meldung bzw. einer speziellen Untersuchung kann es notwendig sein, Meldungen gegenüber weiteren Mitarbeitern von DPDHL zu offenbaren, z. B. wenn die Meldungen sich auf Vorfälle in Tochtergesellschaften beziehen oder zusätzliche Fachkenntnisse erfordern. Die Beschäftigten von DPDHL sind gegebenenfalls in Ländern außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes mit unterschiedlichen Regelungen zum Schutz personenbezogener Daten ansässig. Wir stellen stets sicher, dass bei der Weitergabe von Meldungen die geltenden Datenschutzvorschriften eingehalten werden. Alle Personen, die Zugriff auf die Daten erhalten, werden zur Geheimhaltung verpflichtet.
Die Übermittlung der Meldungen an die vorgenannten Mitarbeiter anderer Konzerngesellschaften erfolgt ausschließlich zu dem Zweck, ein rechtswidriges Verhalten bzw. Verstöße gegen den DPDHL Verhaltenskodex und die darin genannten weiteren Grundsätze, Richtlinien und Vorschriften aufzudecken. Die Übermittlung der Meldungen ist notwendig, um die berechtigten Interessen der Deutsche Post AG und der von der Meldung betroffenen Konzerngesellschaften zu schützen und die Rechtsvorschriften und internen Unternehmensrichtlinien einzuhalten. Die Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 Buchstabe f) DSGVO.
Soweit die anwendbaren Rechtsvorschriften nichts anderes verlangen, werden Ihre personenbezogenen Daten nicht gegenüber externen Parteien offengelegt. Sofern dies gesetzlich vorgeschrieben ist, sind Informationen zur Identität des Hinweisgebers gegebenenfalls gegenüber den an einer Untersuchung oder einem sich anschließenden gerichtlichen Verfahren beteiligten zuständigen Behörden offenzulegen.
Externe Dienstleister, die Daten in unserem Auftrag verarbeiten, werden gemäß Art. 28 DSGVO vertraglich zu strikter Verschwiegenheit verpflichtet. Die Dienstleister befolgen unsere Anweisungen, die durch technische und organisatorische Maßnahmen sowie entsprechende Prüfungen und Kontrollen garantiert sind.
Ihre Daten werden nur dann in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) bzw. an andere DPDHL-Unternehmen, externe Dienstleister oder Behörden übermittelt, soweit dies nach den anwendbaren datenschutzrechtlichen Vorschriften zulässig ist. In diesen Fällen sorgen wir dafür, dass geeignete Vorkehrungen für eine sichere Übertragung Ihrer Daten getroffen wurden (z. B. durch unsere verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Standardvertragsklauseln).
Die DPDHL Datenschutzrichtlinie (Data Privacy Policy) regelt unsere konzernweiten Standards für die Verarbeitung Ihrer Daten.
Welche Rechte stehen Ihnen und anderen betroffenen Personen zu?
Nach dem europäischen Datenschutzrecht stehen Ihnen und den in Ihrer Meldung genannten Personen die folgenden Rechte zu:
- Das Auskunftsrecht: Sie können Auskunft über Ihre verarbeiteten personenbezogenen Daten verlangen.
- Das Recht auf Berichtigung: Sie haben das Recht, eine Berichtigung etwaiger unrichtiger Sie betreffender Daten zu verlangen.
- Das Widerspruchsrecht: Sie haben das Recht, der Verarbeitung zu widersprechen.
- Das Recht auf Widerruf Ihrer Einwilligung: Sie haben das Recht, Ihre Einwilligung zu widerrufen.
- Das Recht auf Datenübertragbarkeit: Sie haben das Recht, Ihre Daten auf ein anderes Unternehmen übertragen zu lassen.
- Das Recht auf Löschung/Vergessenwerden: Sie haben das Recht, unter bestimmten Umständen die Löschung Ihrer Daten zu verlangen.
- Das Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, eine Einschränkung der Art und Weise der Verwendung Ihrer Daten zu verlangen.
- Das Recht im Zusammenhang mit einer automatisierten Entscheidungsfindung, einschließlich Profiling: Sie haben das Recht, die Prüfung einer automatisierten Verarbeitung zu verlangen. Derzeit erfolgt keine automatisierte Entscheidungsfindung.
- Das Recht, Beschwerde einzureichen: Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen.
Sofern das Widerspruchsrecht für eine auf unsere berechtigten Interessen gestützte Datenverarbeitung geltend gemacht wird, werden wir unverzüglich prüfen, ob Ihr Widerspruch wirksam ist. Sofern dies der Fall ist, werden wir die Daten nicht länger verarbeiten.
Bitte richten Sie Anträge zur Ausübung der vorstehenden Rechte bzw. weitere Fragen zu diesem Datenschutzhinweis an die vorstehend angegebenen Kontaktdaten.
Änderungen dieses Datenschutzhinweises
Wir behalten uns das Recht vor, diesen Datenschutzhinweis gelegentlich entsprechend den Veränderungen in unseren Dienstleistungen, der Verarbeitung Ihrer Daten bzw. den anwendbaren Rechtsvorschriften abzuändern. Daher empfehlen wir Ihnen, unseren Datenschutzhinweis regelmäßig zu prüfen.
Stand: 01.10.2021
